JP6828632B2 - 検知装置、検知方法および検知プログラム - Google Patents

検知装置、検知方法および検知プログラム Download PDF

Info

Publication number
JP6828632B2
JP6828632B2 JP2017150771A JP2017150771A JP6828632B2 JP 6828632 B2 JP6828632 B2 JP 6828632B2 JP 2017150771 A JP2017150771 A JP 2017150771A JP 2017150771 A JP2017150771 A JP 2017150771A JP 6828632 B2 JP6828632 B2 JP 6828632B2
Authority
JP
Japan
Prior art keywords
error
attack
vehicle
bus
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2017150771A
Other languages
English (en)
Other versions
JP2019029960A (ja
Inventor
芳博 濱田
芳博 濱田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Original Assignee
Sumitomo Wiring Systems Ltd
AutoNetworks Technologies Ltd
Sumitomo Electric Industries Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sumitomo Wiring Systems Ltd, AutoNetworks Technologies Ltd, Sumitomo Electric Industries Ltd filed Critical Sumitomo Wiring Systems Ltd
Priority to JP2017150771A priority Critical patent/JP6828632B2/ja
Priority to DE112018003971.4T priority patent/DE112018003971T5/de
Priority to US16/634,605 priority patent/US11218501B2/en
Priority to CN201880044892.1A priority patent/CN110832809B/zh
Priority to PCT/JP2018/015211 priority patent/WO2019026352A1/ja
Publication of JP2019029960A publication Critical patent/JP2019029960A/ja
Application granted granted Critical
Publication of JP6828632B2 publication Critical patent/JP6828632B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4604LAN interconnection over a backbone network, e.g. Internet, Frame Relay
    • H04L12/462LAN interconnection over a bridge based backbone
    • H04L12/4625Single bridge functionality, e.g. connection of two networks over a single bridge
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/84Vehicles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Small-Scale Networks (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)

Description

本発明は、検知装置、検知方法および検知プログラムに関する。
従来、車載ネットワークにおけるセキュリティを向上させるための車載ネットワークシステムが開発されている。
たとえば、特許文献1(特開2016−116075号公報)には、以下のような車載通信システムが開示されている。すなわち、車載通信システムは、通信データの送信側が生成するメッセージ認証コードである送信側コードと、前記通信データの受信側が生成するメッセージ認証コードである受信側コードとを使用してメッセージ認証を行う車載通信システムであって、車載ネットワークに接続され、第1の暗号鍵と前記第1の暗号鍵とは異なる第2の暗号鍵のうち前記第1の暗号鍵だけを保持する第1のECUと、前記車載ネットワークに接続され、前記第1の暗号鍵を少なくとも保持する第2のECUと、前記車載ネットワーク及び車外ネットワークに接続され、前記第1の暗号鍵と前記第2の暗号鍵のうち前記第2の暗号鍵だけを保持して、前記第2の暗号鍵を使用して前記車載ネットワークにおける通信時に前記送信側コード又は前記受信側コードを生成する第3のECUとを備え、前記第2のECUは、前記第1の暗号鍵を使用して生成した送信側コードを付与した通信データを送信し、前記第1のECUは、前記通信データを受信した場合に、前記第1の暗号鍵を使用して生成した受信側コードによって、前記受信した通信データに付与された送信側コードの検証を行う。
特開2016−116075号公報 特開2016−97879号公報 特開2015−136107号公報
ルネサス エレクトロニクス株式会社、"CAN入門書 Rev. 1.00"、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja−jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉 K. Cho、外1名、「Error Handling of In−vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044−1055 亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2−2 中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2−3
特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
この発明は、上述の課題を解決するためになされたもので、その目的は、車載ネットワークにおける攻撃を精度よく検知することが可能な検知装置、検知方法および検知プログラムを提供することである。
(1)上記課題を解決するために、この発明のある局面に係わる検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
(6)上記課題を解決するために、この発明のある局面に係わる検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
(7)上記課題を解決するために、この発明のある局面に係わる検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
本発明は、このような特徴的な処理部を備える検知装置として実現することができるだけでなく、検知装置を備える車載通信システムとして実現することができる。また、本発明は、検知装置の一部または全部を実現する半導体集積回路として実現することができる。
本発明によれば、車載ネットワークにおける攻撃を精度よく検知することができる。
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。 図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。 図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。 図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。 図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。 図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。 図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。 図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。 図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。 図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。 図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。 図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
最初に、本発明の実施形態の内容を列記して説明する。
(1)本発明の実施の形態に係る検知装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備える。
このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
(2)好ましくは、前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する。
このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワークにおける各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
(3)好ましくは、前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する。
このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
(4)より好ましくは、前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
このような構成により、たとえば、第1の監視間隔における合計が第1のしきい値より大きい場合においても、エラーID数が第2のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第1の監視間隔における合計が第1のしきい値より大きく、かつエラーID数が第2のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、第2の監視間隔における合計が第3のしきい値より大きい場合においても、エラーID数の平均が第4のしきい値以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、第2の監視間隔における合計が第3のしきい値より大きく、かつエラーID数の平均が第4のしきい値より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
(5)より好ましくは、前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する。
たとえば、第1の監視間隔におけるエラーID数、および第2の監視間隔におけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワークにおける多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワークにおける各車載装置に対する一斉攻撃をより精度よく検知することができる。
(6)本発明の実施の形態に係る検知方法は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、前記バスにおける通信エラーを監視するステップと、監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、集計結果に基づいて前記攻撃を検知するステップとを含む。
このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
(7)本発明の実施の形態に係る検知プログラムは、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、コンピュータを、前記バスにおける通信エラーを監視する監視部と、前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、前記集計部の集計結果に基づいて前記攻撃を検知する検知部、として機能させるためのプログラムである。
このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、フレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バスにおいて伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
以下、本発明の実施の形態について図面を用いて説明する。なお、図中同一または相当部分には同一符号を付してその説明は繰り返さない。また、以下に記載する実施の形態の少なくとも一部を任意に組み合わせてもよい。
[構成および基本動作]
図1は、本発明の実施の形態に係る車載通信システムの構成を示す図である。
図1を参照して、車載通信システム301は、ゲートウェイ装置(検知装置)101と、複数の車載ECU(Electronic Control Unit)121とを備える。
車載通信システム301は、車両1に搭載される。車載ネットワーク12は、車両1の内部における車載装置の一例である、複数の車載ECU121およびゲートウェイ装置101を含む。
ゲートウェイ装置101には、バス13A,13B,13C,13Dが接続される。以下、バス13A,13B,13C,13Dの各々を、バス13とも称する。
なお、ゲートウェイ装置101には、4つのバス13が接続される構成に限らず、3つ以下または5つ以上のバス13が接続されてもよい。
バス13には、たとえば複数の車載ECU121が接続される。バス13は、たとえば、非特許文献1(ルネサス エレクトロニクス株式会社、”CAN入門書 Rev. 1.00”、[online]、[平成29年6月17日検索]、インターネット〈URL:https://www.renesas.com/ja−jp/doc/products/mpumcu/apn/003/rjj05b0937_canap.pdf〉)に記載のCAN(Controller Area Network)(登録商標)の規格に従うバスである。
なお、バス13には、複数の車載ECU121が接続される構成に限らず、1つの車載ECU121が接続される構成であってもよい。また、バス13は、FlexRay(登録商標)、MOST(Media Oriented Systems Transport)(登録商標)、イーサネット(登録商標)、およびLIN(Local Interconnect Network)等の規格に従うバスであってもよい。
車載ECU121は、たとえば、TCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェース、およびカメラ等である。
ゲートウェイ装置101は、バス13を介して車載ECU121と通信を行うことが可能である。ゲートウェイ装置101は、車両1において、異なるバス13に接続された車載ECU121間でやり取りされる情報を中継する中継処理を行う。
図2は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図2には、標準フォーマットのデータフレームが示される。
図2を参照して、バス13において、データフレームは、インターフレームスペースIFS間において伝送される。
データフレームは、先頭から、SOF(Start Of Frame)、ID(Identifier)、RTR(Remote Transmission Request)、CONTROL、DATA、CRC(Cyclic Redundancy Check)、CRC DELIMITER、ACK SLOT、ACK DELIMITERおよびEOF(End Of Frame)の領域を有する。
領域は、対応のビット数の長さを有する。また、各領域におけるビットのレベルは、レセシブ固定、ドミナント固定、ならびにレセシブおよびドミナントの可変のうちのいずれか1つである。
具体的には、SOF領域は、1ビットの長さを有する。SOF領域における1ビットのレベルは、ドミナント固定である。
ID領域は、11ビットの長さを有する。ID領域における11個のビットは、レセシブおよびドミナントの可変である。
ID領域における11個のビットの示す値(以下、CAN−IDとも称する。)は、識別情報の一例であり、データフレームの差出元および宛先を認識可能である。
また、CAN−IDは、たとえば、データフレームに含まれるデータの種類を示す。
車載ネットワーク12におけるバス13において、互いに異なるCAN−IDを含む複数のデータフレームが伝送される。
車載ネットワーク12では、データフレームの送信は、たとえばブロードキャストにより行われる。たとえば、バス13に接続されたある車載装置が、送信ノードとして、予め設定されたCAN−IDを含むデータフレームをブロードキャストした場合、当該バス13に接続された他の車載装置は受信ノードとして動作し、ブロードキャストされたデータフレームを受信する。
この際、受信ノードは、受信したデータフレームに含まれるCAN−IDに基づいて、受信したデータフレームが自己にとって必要であるか否かを判断する。
車載ネットワーク12では、1つの受信ノードが、受信したデータフレームを自己にとって必要であると判断することもあるし、複数の受信ノードが、受信したデータフレームを自己にとって必要であると判断することもある。
上記のように、車載ネットワーク12では、データフレームに含まれるCAN−IDに基づいて、当該データフレームの差出元および宛先を特定することが可能である。
また、CAN−IDは、たとえば、通信調停の優先順位に用いられる。
バス13では、CAMA/CA(Carrier Sense Multiple Access with Collision Avoidance)方式に従って、最初にデータフレームを送信した車載ECU121が送信権を獲得する。
たとえば、2つ以上の車載ECU121がほぼ同時にデータフレームの送信を開始した場合、ID領域の1ビット目から調停を行い、ドミナントレベルを最も長く連続して送信した車載ECU121がデータフレームの送信を行うことができる。調停の敗者となった車載ECU121は、データフレームの送信を停止し、受信動作を開始する。
車載ネットワーク12では、レセシブレベルおよびドミナントレベルは、それぞれ論理値1および論理値ゼロに対応するので、より小さいCAN−IDを含むデータフレームが優先的に伝送される。
図3は、本発明の実施の形態に係る車載通信システムにおける車載ネットワークにおいて伝送されるデータフレームの一例を示す図である。図3には、拡張フォーマットのデータフレームが示される。
図3を参照して、拡張フォーマットのデータフレームでは、図2に示す標準フォーマットのデータフレームと比べて、ID領域とRTR領域との間において、SRR(Substitute Remote Request)、IDE(Identifier Extension)およびEXTENDED IDの領域がさらに設けられる。
[バスオフ攻撃]
図4は、本発明の実施の形態に係る車載通信システムにおけるトランシーバの状態遷移の一例を示す図である。
図4を参照して、バス13を介して通信するゲートウェイ装置101および車載ECU121には、トランシーバが設けられる。トランシーバは、送信エラーカウンタTECおよび受信エラーカウンタRECを有する。
トランシーバは、CANの通信規格に従って動作し、エラーアクティブ状態、エラーパッシブ状態およびバスオフ状態のいずれか1つの状態をとる。
エラーアクティブ状態は、バス13上の通信に正常に参加することができる状態である。エラーパッシブ状態は、エラーを起こしやすい状態である。バスオフ状態は、バス13上の通信に参加できない状態であり、すべての通信が禁止される。
エラーアクティブ状態またはエラーパッシブ状態にあるトランシーバは、エラーを検出した場合、エラーを検出したことを示すエラーフレームをバス13へ送信する。また、当該トランシーバは、たとえば、ID毎プロトコルエラー監視区間(図2および図3参照)におけるデータの送信中にエラーを検出した場合、データフレームの送信を中断することもある。
また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出した場合、送信エラーカウンタTECのカウント値を、検出したエラーの内容に応じて増加させる。
また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出した場合、受信エラーカウンタRECのカウント値を、検出したエラーの内容に応じて増加させる。
また、トランシーバは、自己が送信ユニットとして動作するときにエラーを検出せずにメッセージを送信できた場合、送信エラーカウンタTECのカウント値をデクリメントする。
また、トランシーバは、自己が受信ユニットとして動作するときにエラーを検出せずにメッセージを受信できた場合、受信エラーカウンタRECのカウント値をデクリメントする。
トランシーバは、たとえば、起動されると初期状態を経てエラーアクティブ状態になる。
エラーアクティブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値または受信エラーカウンタRECのカウント値が127より大きい値になると、エラーパッシブ状態へ遷移する。
エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方が128より小さい値になると、エラーアクティブ状態へ遷移する。
また、エラーパッシブ状態にあるトランシーバは、送信エラーカウンタTECのカウント値が255より大きい値になると、バスオフ状態へ遷移する。
バスオフ状態にあるトランシーバは、連続する11ビットのレセシブビットを128回バス13上において検出した場合、送信エラーカウンタTECのカウント値および受信エラーカウンタRECのカウント値の両方をゼロにリセットするとともに、エラーアクティブ状態へ遷移する。
図5は、本発明の実施の形態に係る車載ネットワークにおける攻撃を説明するための図である。
図5を参照して、バス13には、車載ECU121である車載ECU121A,121Bと、攻撃デバイス123とが接続されている。車載ECU121A,121Bは、トランシーバ122を含む。
バスオフ攻撃は、たとえば、非特許文献2(K. Cho、外1名、「Error Handling of In−vehicle Networks Makes Them Vulnerable」、CCS ’16 Proceedings of the 2016 ACM SIGSAC Conference on Computer and Communications Security、P.1044−1055)および非特許文献3(亀岡 良太、外5名、「ラズベリーパイからのスタッフエラー注入によるCAN ECUへのバスオフ攻撃」、2017 Symposium on Cryptography and Information Security、1E2−2)に記載されている。
バスオフ攻撃では、攻撃デバイス123は、攻撃対象の車載ECU121におけるトランシーバ122の自己検査機能を攻撃することにより当該トランシーバ122の送信品質が低下したと誤認識させ、攻撃対象の車載ECU121をバス13から離脱させる。この結果、攻撃を受けた車載ECU121は、通信不能に追い込まれる。
より詳細には、トランシーバ122は、たとえば、データフレームを送信する際に受信も同時に行うことにより、バス13へ送信したデータと同じデータがバス13から受信されたか否かを確認する。
トランシーバ122は、バス13へ送信したデータと同じデータがバス13から受信された場合、送信が正常に行われたと判断する。一方、トランシーバ122は、バス13へ送信したデータと異なるデータがバス13から受信された場合、送信においてエラーが発生したと判断する。
より詳細には、攻撃デバイス123は、たとえば、車載ECU121Bを攻撃する場合、ID毎プロトコルエラー監視区間(図2および図3参照)において、車載ECU121Bが送信するレセシブビットをドミナントビットで上書きする。
これにより、車載ECU121Bにおけるトランシーバ122は、レセシブビットを送信したにも関わらずドミナントビットを受信したため送信においてエラーが発生したと判断し、送信エラーカウンタTECのカウント値を増加させる。
攻撃デバイス123がこの攻撃を繰り返すことにより、車載ECU121Bのトランシーバ122における送信エラーカウンタTECのカウント値はさらに増加する。当該送信エラーカウンタTECのカウント値が255より大きくなると、車載ECU121Bにおけるトランシーバ122はバスオフ状態に遷移し、トランシーバ122は、バス13上の通信に参加できなくなってしまう。
[電気的データ改ざん攻撃]
図6は、本発明の実施の形態に係る車載ネットワークにおける電気的データ改ざん攻撃を説明するための図である。
図6を参照して、図2および図3に示すデータフレームにおける1ビットの期間には、シンクロナイゼーションセグメントSS、プロパゲーションタイムセグメントPTS、フェーズバッファセグメントPBS1およびフェーズバッファセグメントPBS2が含まれる。
各セグメントは、Tq(Time quantum)という最小時間単位で構成される。SSのTq数は、1に固定である。PTS、PBS1およびPBS2のTq数は、所定の範囲内で任意の値に設定可能である。
また、サンプルタイミングSPは、PBS1とPBS2との間に設けられる。車載ネットワーク12において、PTS、PBS1およびPBS2のTq数は車載ECU121ごとに様々な値に設定されるので、車載ネットワーク12における各車載ECU121のサンプルタイミングSPは、一般にばらついている。
電気的データ改ざん攻撃は、たとえば、非特許文献4(中山 淑文、外3名、「車載CANバスにおける電気的データ改竄の効果」、2017 Symposium on Cryptography and Information Security、1E2−3)に記載されている。
電気的データ改ざん攻撃では、送信ユニットのサンプリングポイントSPより遅いサンプリングポイントSPを有する受信ユニットに対して攻撃が行われる。
たとえば、図5において、車載ECU121Bにおけるトランシーバ122および車載ECU121Aにおけるトランシーバ122がそれぞれ送信ユニットおよび受信ユニットとして動作する状況を想定する。
この例では、送信ユニットにおけるサンプルタイミングSPがビットの先頭から4Tq目であり、また受信ユニットにおけるサンプルタイミングSPがビットの先頭から6Tq目である。
攻撃デバイス123は、送信ユニットのサンプリングポイントSPでは改ざんせずに、受信ユニットのサンプリングポイントSPにおいてデータ改ざん用の電気信号をバス13へ送信することで、送信ユニットからのデータを改ざんする。これにより、送信ユニットにおけるビットエラー検出を回避しつつ受信ユニットが受信するデータを改ざんすることが可能となる。
より詳細には、攻撃デバイス123は、送信ユニットがデータビットを送信する場合において、ビットの先頭から4Tq目が経過してから6Tq目に至るまでに、当該データビットを改ざんするための電気信号をバス13へ送信する。
送信ユニットは、自己が送信したデータビットを4Tq目のサンプルタイミングで取得するので、正常に送信したと判断する。
一方、受信ユニットは、攻撃デバイス123によって改ざんされた不正なデータビットを6Tq目に取得してしまう。
このような電気的データ改ざん攻撃では、送信ユニットおよび受信ユニットの両方においてエラーが検出されない。
しかしながら、上述したように、各車載ECU121のサンプルタイミングSPがばらついているので、車載ネットワーク12におけるすべての車載ECU121においてエラーを検出させずに電気的データ改ざん攻撃を行うことは困難であると考えられる。
したがって、一般に、車載ネットワーク12における一部の車載ECU121が、電気的データ改ざん攻撃を検出してエラーフレームをバス13へ送信する状況となる。
このような、バスオフ攻撃および電気的データ改ざん攻撃等の車載ネットワーク12における攻撃をより精度よく検知するための技術が求められる。
そこで、本発明の実施の形態に係るゲートウェイ装置では、以下のような構成および動作により、このような課題を解決する。
[ゲートウェイ装置101の構成]
図7は、本発明の実施の形態に係る車載通信システムにおけるゲートウェイ装置の構成を示す図である。
図7を参照して、ゲートウェイ装置101は、送受信部(監視部)51A,51B,51C,51Dと、中継部52と、集計部54と、検知部55と、記憶部56とを備える。以下、送受信部51A,51B,51C,51Dの各々を、送受信部51とも称する。
なお、ゲートウェイ装置101は、4つの送受信部51を備える構成に限らず、3つ以下、または5つ以上の送受信部51を備える構成であってもよい。
ゲートウェイ装置101は、検知装置として機能し、識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。
より詳細には、ゲートウェイ装置101における送受信部51は、たとえば、トランシーバであり、バス13に接続される。具体的には、送受信部51A,51B,51C,51Dは、それぞれバス13A,13B,13C,13Dに接続される。
送受信部51は、自己の接続されたバス13からデータフレームを受信すると、ID監視区間において受信した各ビットのレベルからCAN−IDを取得する(図2および図3参照)。
送受信部51は、取得したCAN−IDに基づいて、受信したデータフレームが中継を要するフレームであるか否かを判断する。
送受信部51は、受信したデータフレームが中継を要するフレームであると判断した場合、当該データフレームを中継部52へ出力する。
中継部52は、データフレームの中継処理を行う。具体的には、中継部52は、たとえば、送受信部51Aからデータフレームを受けると、受けたデータフレームに含まれるCAN−IDに基づいて、当該データフレームを出力すべき送受信部51を特定する。
より詳細には、中継部52は、たとえば、CAN−IDと送受信部51との対応関係を示すテーブルを有している。この例では、中継部52は、当該対応関係に基づいて、当該CAN−IDに対応する送受信部51として送受信部51Bを特定する。そして、中継部52は、上記データフレームを送受信部51Bへ出力する。
送受信部51Bは、中継部52からデータフレームを受けると、受けたデータフレームをバス13Bへ送信する。
また、送受信部51は、バス13における通信エラーを監視する。より詳細には、送受信部51は、ID監視区間においてCAN−IDを取得した後、ID毎プロトコルエラー監視区間におけるビット列を監視する。
送受信部51は、たとえば、差出元の車載ECU121によるデータフレームの送信の中断を検出した場合、およびエラーフレームを受信した場合、通信エラーが発生したと判断する。
そして、送受信部51は、通信エラーが発生したと判断したデータフレームのCAN−IDを集計部54へ通知する。
図8は、本発明の実施の形態に係るゲートウェイ装置において用いられる長監視間隔期間および短監視間隔期間の一例を示す図である。なお、図8において、横軸は時間を示す。
図8を参照して、集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。
より詳細には、集計部54は、たとえば、短監視間隔期間ST1,ST2,ST3,ST4,ST5を含む長監視間隔期間LTを設定する。短監視間隔期間ST1〜ST5は、連続している。以下、短監視間隔期間ST1,ST2,ST3,ST4,ST5の各々を、短監視間隔期間STとも称する。
なお、集計部54は、5つの短監視間隔期間STを含む長監視間隔期間LTを設定する構成に限らず、2つ、3つ、4つまたは6つ以上の短監視間隔期間STを含む長監視間隔期間LTを設定してもよい。
図9は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
図9を参照して、集計部54は、たとえば、短監視間隔期間STの各々における通信エラーの発生回数の合計値、および長監視間隔期間LTにおける通信エラーの発生回数の合計値を含む集計表Tbl1を送受信部51ごとに作成して保持する。図9に示す集計表Tbl1は、たとえば、送受信部51A用の集計表である。
集計表Tbl1では、車載ネットワーク12において用いられるCAN−ID数分の行が設けられ、各行には、短監視間隔期間ST1〜ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
集計部54は、送受信部51AからCAN−IDの通知を受けるごとに、以下の処理を行う。
すなわち、集計部54は、集計表Tbl1において、通知されたCAN−IDに対応する行において、通知を受けたタイミングを含む短監視間隔期間STに対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
具体的には、集計部54は、たとえば、短監視間隔期間ST1において、送受信部51AからCAN−IDとして「1」の通知を受けると、CAN−IDが「1」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数をインクリメントする。
集計部54がこのような処理を行うことにより、短監視間隔期間ST1が満了すると、CAN−IDが「1」、「2」および「N」の行において、短監視間隔期間ST1に対応するフィールドにおけるプロトコルエラー発生回数としてそれぞれ5回、5回およびゼロ回が集計表Tbl1に記録される。
集計部54は、短監視間隔期間ST2〜短監視間隔期間ST5においても、同様の処理を行う。
そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるCAN−IDごとのプロトコルエラー発生回数を集計表Tbl1に書き込む。
より詳細には、集計部54は、短監視間隔期間ST1〜ST5におけるプロトコルエラー発生回数の合計値をCAN−IDごとに算出する。
集計部54は、CAN−IDごとに、算出した合計値を、当該CAN−IDの行において長監視間隔期間LTに対応するフィールドに書き込む。
具体的には、集計部54は、たとえば、CAN−IDが「1」の行において、短監視間隔期間ST1〜ST5におけるプロトコルエラー発生回数の合計値として50回を算出する。
集計部54は、算出した50回を、CAN−IDが「1」の行において長監視間隔期間LTに対応するフィールドに書き込む。
図10は、本発明の実施の形態に係るゲートウェイ装置における集計部が作成する集計表の一例を示す図である。
図10を参照して、集計部54は、たとえば、各短監視間隔期間STにおけるバス内プロトコルエラー分布、および長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を含む集計表Tbl2を送受信部51ごとに作成して保持する。図10に示す集計表Tbl2は、たとえば、送受信部51A用の集計表である。
集計表Tbl2では、短監視間隔期間ST1〜ST5および長監視間隔期間LTにそれぞれ対応するフィールドが設けられる。
集計部54は、短監視間隔期間STが満了すると、当該短監視間隔期間STにおけるバス内プロトコルエラー分布を算出し、算出したバス内プロトコルエラー分布を当該短監視間隔期間STに対応するフィールドに書き込む。
ここで、バス内プロトコルエラー分布は、通信エラーの発生した識別情報の数であるエラーID数の一例である。具体的には、バス内プロトコルエラー分布は、短監視間隔期間STにおいて、プロトコルエラー発生回数が1回以上となったCAN−IDの個数である。
具体的には、集計部54は、たとえば、短監視間隔期間ST1が満了すると、短監視間隔期間ST1において、プロトコルエラー発生回数が1回以上のCAN−IDが「1」および「2」であることから、バス内プロトコルエラー分布として2を算出する。
そして、集計部54は、算出した2を当該短監視間隔期間ST1に対応するフィールドに書き込む。
集計部54は、短監視間隔期間ST2〜短監視間隔期間ST5の各々が満了した場合においても、同様の処理を行う。
そして、集計部54は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を長監視間隔期間LTに対応するフィールドに書き込む。
具体的には、集計部54は、短監視間隔期間ST1〜ST5における各バス内プロトコルエラー分布の平均として、(2+2+1+1+1)を5で除した値である1.4を算出する。
集計部54は、算出した1.4を長監視間隔期間LTに対応するフィールドに書き込む。
再び図7を参照して、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
詳細には、検知部55は、たとえば、集計結果における各CAN−ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
より詳細には、検知部55は、たとえば、通信エラーの発生回数のCAN−IDごとの合計、およびバス内プロトコルエラー分布に基づいて車載ネットワーク12における攻撃を検知する。
検知部55は、たとえば、短監視間隔ごとに短間隔検知処理を行う。具体的には、検知部55は、たとえば、短監視間隔期間STにおける通信エラーの発生回数のCAN−IDごとの合計としきい値Th1との比較結果Rst1、バス内プロトコルエラー分布としきい値Th2との比較結果Rst2、およびバス内プロトコルエラー分布としきい値Th2より大きいしきい値Th5との比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する。
より具体的には、検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST1,ST2,ST3,ST4,ST5および長監視間隔期間LTに従って動作し、短監視間隔期間ST1が満了すると、以下の処理を行う。
すなわち、検知部55は、短監視間隔期間ST1におけるプロトコルエラー発生回数のCAN−IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
また、検知部55は、短監視間隔期間ST1におけるバス内プロトコルエラー分布を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
検知部55は、たとえば、「1」〜「N」のCAN−IDの中から昇順にCAN−IDを1つずつ選択し、選択したCAN−IDに対応するプロトコルエラー発生回数を用いた評価を行う。
具体的には、検知部55は、たとえば、選択したCAN−ID(以下、対象CAN−IDとも称する。)に対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th2より小さい場合、少数の車載ECU121に対するサイバー攻撃である少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
たとえば、1〜2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN−IDの個数は少数であるため、バス内プロトコルエラー分布は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
また、検知部55は、たとえば、対象CAN−IDに対応するプロトコルエラー発生回数の合計がしきい値Th1より大きく、かつバス内プロトコルエラー分布がしきい値Th5より大きい場合、多数の車載ECU121に対するサイバー攻撃である多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN−IDの個数も多数であるため、バス内プロトコルエラー分布が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
また、検知部55は、たとえば、対象CAN−IDに対応するプロトコルエラー発生回数の合計がしきい値Th1以下であるか、またはバス内プロトコルエラー分布がしきい値Th2以上でありかつしきい値Th5以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
検知部55は、たとえば、集計部54によって設定された短監視間隔期間ST2,ST3,ST4,ST5が満了した場合の各々においても、短監視間隔期間ST1が満了した場合と同様に、短間隔検知処理を行う。
また、検知部55は、たとえば、長監視間隔ごとに長間隔検知処理を行う。具体的には、検知部55は、たとえば、長監視間隔期間LTにおける通信エラーの発生回数のCAN−IDごとの合計としきい値Th3との比較結果Rst3、バス内プロトコルエラー分布の平均としきい値Th4との比較結果Rst4、および当該平均としきい値Th4より大きいしきい値Th6との比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する。
より具体的には、検知部55は、長監視間隔期間LTが満了すると、長監視間隔期間LTにおけるプロトコルエラー発生回数のCAN−IDごとの合計値を、集計部54が保持する集計表Tbl1(図9参照)から取得する。
また、検知部55は、長監視間隔期間LTにおけるバス内プロトコルエラー分布の平均を、集計部54が保持する集計表Tbl2(図10参照)から取得する。
検知部55は、たとえば、「1」〜「N」のCAN−IDの中から昇順にCAN−IDを1つずつ選択し、選択したCAN−IDに対応するプロトコルエラー発生回数を用いた評価を行う。
具体的には、検知部55は、たとえば、選択したCAN−IDすなわち対象CAN−IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th4より小さい場合、少数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
たとえば、1〜2個の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数は大きくなる。一方、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN−IDの個数は少数であるため、バス内プロトコルエラー分布の平均は大きくならない。上記の構成により、検知部55は、少数攻撃が発生したことをより正しく判断することができる。
また、検知部55は、たとえば、対象CAN−IDに対応するプロトコルエラー発生回数の合計がしきい値Th3より大きく、かつバス内プロトコルエラー分布の平均がしきい値Th6より大きい場合、多数攻撃が発生したと判断する。検知部55は、判断結果をログとして記憶部56に記録する。
たとえば、多数の車載ECU121に対してサイバー攻撃があった場合、サイバー攻撃された車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数は大きくなる。また、サイバー攻撃された車載ECU121を差出元または宛先として示すCAN−IDの個数も多数であるため、バス内プロトコルエラー分布の平均が極めて大きくなる。上記の構成により、検知部55は、多数攻撃が発生したことをより正しく判断することができる。
また、検知部55は、たとえば、対象CAN−IDに対応するプロトコルエラー発生回数の合計がしきい値Th3以下であるか、またはバス内プロトコルエラー分布の平均がしきい値Th4以上でありかつしきい値Th6以下である場合、ノイズまたは車載ECU121の故障等による通信エラーが発生したと判断する。この場合、検知部55は、判断結果を記憶部56に記録しない。
たとえば、ノイズはランダムに発生することが多いので、通信エラーの発生するデータフレームもランダムとなる。このため、バス内プロトコルエラー分布の平均は大きくなる。また、車載ECU121が経年劣化する場合、車載ECU121が差出元または宛先となるデータフレームの通信エラーが散発的に発生すると考えられる。このため、バス内プロトコルエラー分布の平均が小さくても、車載ECU121が差出元または宛先となるデータフレームに含まれるCAN−IDについてのプロトコルエラー発生回数も小さくなる。上記の構成により、検知部55は、少数攻撃または多数攻撃の発生を誤って判断してしまうことを防ぐことができる。
[動作の流れ]
ゲートウェイ装置101は、コンピュータを備え、当該コンピュータにおけるCPU等の演算処理部は、以下に示すフローチャートの各ステップの一部または全部を含むプログラムを図示しないメモリから読み出して実行する。この装置のプログラムは、外部からインストールすることができる。この装置のプログラムは、記録媒体に格納された状態で流通する。
図11は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
図11を参照して、まず、ゲートウェイ装置101は、短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
そして、ゲートウェイ装置101は、短監視間隔期間STが満了すると(ステップS102でYES)、当該短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS104)。
次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN−IDのうちの1つを選択する(ステップS106)。
次に、ゲートウェイ装置101は、選択したCAN−IDすなわち対象CAN−IDに対応するプロトコルエラー発生回数の短監視間隔期間STにおける合計ENsがしきい値Th1より大きく、かつ当該短監視間隔期間STにおけるバス内プロトコルエラー分布EDsがしきい値Th2より小さい場合(ステップS108でYES)、少数攻撃を検知する(ステップS118)。
また、ゲートウェイ装置101は、合計ENsがしきい値Th1より大きく、かつバス内プロトコルエラー分布EDsがしきい値Th5より大きい場合(ステップS108でNOおよびステップS110でYES)、多数攻撃を検知する(ステップS112)。
次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS118)、または多数攻撃を検知すると(ステップS112)、検知結果をログに記録する(ステップS114)。
また、ゲートウェイ装置101は、合計ENsがしきい値Th1以下であるか、もしくはバス内プロトコルエラー分布EDsがしきい値Th2以上かつしきい値Th5以下である場合(ステップS108でNOおよびステップS110でNO)、または検知結果をログに記録すると(ステップS114)、車載ネットワーク12において用いられる複数のCAN−IDをすべて選択したか否かを確認する(ステップS116)。
ゲートウェイ装置101は、上記複数のCAN−IDの中で未選択のCAN−IDが存在する場合(ステップS116でNO)、上記複数のCAN−IDにおいて未選択のCAN−IDを1つ選択する(ステップS106)。
一方、ゲートウェイ装置101は、上記複数のCAN−IDをすべて選択した場合(ステップS116でYES)、新たな短監視間隔期間STが満了するまで、データフレームの中継処理を行いながら、発生した通信エラーを記録する(ステップS102でNO)。
図12は、本発明の実施の形態に係るゲートウェイ装置がサイバー攻撃を検知する際の動作手順を定めたフローチャートである。
図12を参照して、まず、ゲートウェイ装置101は、長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、長監視間隔期間LTに含まれる各短監視間隔期間STにおいて発生した通信エラーを記録する(ステップS202でNO)。
そして、ゲートウェイ装置101は、長監視間隔期間LTが満了すると(ステップS202でYES)、当該各短監視間隔期間STにおいて発生した通信エラーを集計する(ステップS204)。
次に、ゲートウェイ装置101は、車載ネットワーク12において用いられる複数のCAN−IDのうちの1つを選択する(ステップS206)。
次に、ゲートウェイ装置101は、選択したCAN−IDすなわち対象CAN−IDに対応するプロトコルエラー発生回数の長監視間隔期間LTにおける合計ENpがしきい値Th3より大きく、かつ当該長監視間隔期間LTにおけるバス内プロトコルエラー分布EDpがしきい値Th4より小さい場合(ステップS208でYES)、少数攻撃を検知する(ステップS218)。
また、ゲートウェイ装置101は、合計ENpがしきい値Th3より大きく、かつバス内プロトコルエラー分布EDpがしきい値Th6より大きい場合(ステップS208でNOおよびステップS210でYES)、多数攻撃を検知する(ステップS212)。
次に、ゲートウェイ装置101は、少数攻撃を検知するか(ステップS218)、または多数攻撃を検知すると(ステップS212)、検知結果をログに記録する(ステップS214)。
また、ゲートウェイ装置101は、合計ENpがしきい値Th3以下であるか、もしくはバス内プロトコルエラー分布EDpがしきい値Th4以上かつしきい値Th6以下である場合(ステップS208でNOおよびステップS210でNO)、または検知結果をログに記録すると(ステップS214)、車載ネットワーク12において用いられる複数のCAN−IDをすべて選択したか否かを確認する(ステップS216)。
ゲートウェイ装置101は、上記複数のCAN−IDの中で未選択のCAN−IDが存在する場合(ステップS216でNO)、上記複数のCAN−IDにおいて未選択のCAN−IDを1つ選択する(ステップS206)。
一方、ゲートウェイ装置101は、上記複数のCAN−IDをすべて選択した場合(ステップS216でYES)、新たな長監視間隔期間LTが満了するまで、データフレームの中継処理を行いながら、新たな長監視間隔期間LTにおいて発生した通信エラーを記録する(ステップS202でNO)。
なお、本発明の実施の形態に係るゲートウェイ装置は、バス13A〜13Dのすべてを攻撃の検知対象とする構成であるとしたが、これに限定するものではない。ゲートウェイ装置101は、バス13A〜13Dの一部を攻撃の検知対象とする構成であってもよい。
また、本発明の実施の形態に係る車載ネットワークでは、ゲートウェイ装置101が、車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。バス13に接続された各車載ECU121のうちの少なくともいずれか1つが、ゲートウェイ装置101と同様に、検知装置として動作し、対応のバス13における攻撃を検知する構成であってもよい。
また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能な識別情報を含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先のいずれか一方を認識可能な識別情報を含むデータフレームが伝送される構成であってもよい。
また、本発明の実施の形態に係る車載ネットワークでは、差出元および宛先の両方を認識可能なCAN−IDを含むデータフレームが伝送される構成であるとしたが、これに限定するものではない。差出元および宛先の少なくともいずれか一方を直接示す識別情報、たとえばアドレスを含むデータフレームが伝送される構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計部54における集計結果における各CAN−ID間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、上記偏りに基づかずに車載ネットワーク12における攻撃を検知する構成であってもよい。具体的には、検知部55は、たとえば、図10に示す集計表Tbl2を用いずに、車載ネットワーク12における攻撃を検知する。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短間隔検知処理および長間隔検知処理の両方を行う構成であるとしたが、これに限定するものではない。検知部55は、短間隔検知処理および長間隔検知処理のいずれか一方を行う構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2および比較結果Rst5に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst1および比較結果Rst2に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst3、比較結果Rst4および比較結果Rst6に基づいて車載ネットワーク12における攻撃を検知する構成であるとしたが、これに限定するものではない。検知部55は、比較結果Rst3および比較結果Rst4に基づいて車載ネットワーク12における攻撃を検知する構成であってもよい。
ところで、特許文献1に記載の車載通信システムでは、車載ネットワークに限定して接続される第1のECUおよび第2のECUがメッセージ認証に用いる第1の暗号鍵と、車載ネットワークおよび車外ネットワークの両方に接続される第3のECUが用いる第2の暗号鍵とが異なることにより、車外ネットワークに接続されない第1のECUおよび第2のECUに対する車外ネットワークからのサイバー攻撃を防いでいる。
しかしながら、たとえば、各ECU間を接続するバスにおいて伝送される信号を電気的に操作するようなサイバー攻撃に対しては、上記のようなセキュリティ対策が無効化されることがある。
このような攻撃を受けた場合において、車載ネットワークにおける攻撃を精度よく検知するための技術が求められる。
これに対して、本発明の実施の形態に係るゲートウェイ装置は、差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むデータフレームが伝送されるバス13を含む車載ネットワーク12における攻撃を検知する。バス13において、互いに異なる識別情報を含む複数のデータフレームが伝送される。送受信部51は、バス13における通信エラーを監視する。集計部54は、送受信部51の監視結果に基づいて、識別情報ごとの通信エラーの発生状況を集計する。そして、検知部55は、集計部54の集計結果に基づいて車載ネットワーク12における攻撃を検知する。
このような構成により、識別情報ごとの通信エラーの発生状況の集計結果に基づいて、データフレームの差出元または宛先の車載装置ごとの通信エラーの発生状況を認識することができるので、たとえば、バス13において伝送される信号を電気的に操作するようなサイバー攻撃を受けて通信エラーの発生した車載装置を、特定することができる。したがって、車載ネットワークにおける攻撃を精度よく検知することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、集計結果における各識別情報間での通信エラーの発生状況の偏りに基づいて車載ネットワーク12における攻撃を検知する。
このような構成により、各識別情報間での通信エラーの発生状況の偏りに基づいて、たとえば、車載ネットワーク12における各車載装置において満遍なく通信エラーが発生しているのか、または当該各車載装置のうちの特定の少数の車載装置に通信エラーが発生しているのかを認識することができる。これにより、たとえば、各車載装置において満遍なく通信エラーが発生している場合には電気的ノイズの影響も考慮して攻撃の検知を慎重に判断することができ、また、特定の少数の車載装置に通信エラーが発生している場合には、攻撃の可能性が高いと判断することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、通信エラーの発生回数の識別情報ごとの合計、および通信エラーの発生した識別情報の数であるエラーID数に基づいて車載ネットワーク12における攻撃を検知する。
このような構成により、たとえば、通信エラーの発生回数の多い車載装置に対して攻撃を受けたと判断しようとする場合において、通信エラーの発生した車載装置数を考慮することができるので、攻撃の有無をより正しく判断することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、短監視間隔期間STにおける合計としきい値Th1との比較結果Rst1およびエラーID数としきい値Th2との比較結果Rst2、ならびに複数の短監視間隔期間STからなる長監視間隔期間LTにおける合計としきい値Th3との比較結果Rst3およびエラーID数の平均としきい値Th4との比較結果Rst4の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
このような構成により、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きい場合においても、エラーID数がしきい値Th2以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、短監視間隔期間STにおける合計がしきい値Th1より大きく、かつエラーID数がしきい値Th2より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。また、長監視間隔期間LTにおける合計がしきい値Th3より大きい場合においても、エラーID数の平均がしきい値Th4以上であるときには、電気的ノイズによって通信エラーが広範に発生していることが考えられるので、攻撃を誤って検知してしまうことを防ぐことができる。また、たとえば、長監視間隔期間LTにおける合計がしきい値Th3より大きく、かつエラーID数の平均がしきい値Th4より小さいときには、特定の少数の車載装置において通信エラーが発生していることから、当該特定の少数の車載装置に対する攻撃をより正しく検知することができる。
また、本発明の実施の形態に係るゲートウェイ装置では、検知部55は、比較結果Rst1、比較結果Rst2およびエラーID数としきい値Th2より大きいしきい値Th5との比較結果、ならびに比較結果Rst3、比較結果Rst4およびエラーID数の平均としきい値Th4より大きいしきい値Th6との比較結果の少なくともいずれか一方に基づいて車載ネットワーク12における攻撃を検知する。
たとえば、短監視間隔期間STにおけるエラーID数、および長監視間隔期間LTにおけるエラーID数の平均の少なくともいずれか一方が極端に大きい場合、車載ネットワーク12における多数の車載装置に対して攻撃が行われていると考えられる。上記の構成により、車載ネットワーク12における各車載装置に対する一斉攻撃をより精度よく検知することができる。
上記実施の形態は、すべての点で例示であって制限的なものではないと考えられるべきである。本発明の範囲は、上記説明ではなく特許請求の範囲によって示され、特許請求の範囲と均等の意味および範囲内でのすべての変更が含まれることが意図される。
以上の説明は、以下に付記する特徴を含む。
[付記1]
差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
前記バスにおける通信エラーを監視する監視部と、
前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備え、
前記検知装置は車両に搭載され、前記フレームを中継するゲートウェイ装置、または車載ECU(Electronic Control Unit)であり、
前記識別情報は、CAN−ID(Controller Area Network−Identifier)であり、
前記車載ネットワークは、前記車両に搭載されるTCU(Telematics Communication Unit)、自動運転ECU、エンジンECU、センサ、ナビゲーション装置、ヒューマンマシンインタフェースまたはカメラを含み、
前記フレームは、CAN、FlexRay、MOST(Media Oriented Systems Transport)、イーサネットまたはLIN(Local Interconnect Network)の通信規格に従って前記車載ネットワークにおいて伝送され、
前記集計部は、前記監視部の監視結果に基づいて、前記CAN−IDごとのプロトコルエラー発生回数を集計する、検知装置。
1 車両
12 車載ネットワーク
13 バス
51 送受信部(監視部)
52 中継部
54 集計部
55 検知部
56 記憶部
101 ゲートウェイ装置
121 車載ECU
122 トランシーバ
123 攻撃デバイス
301 車載通信システム

Claims (6)

  1. 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置であって、
    前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
    前記バスにおける通信エラーを監視する監視部と、
    前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
    前記集計部の集計結果に基づいて前記攻撃を検知する検知部とを備え
    前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する、検知装置。
  2. 前記検知部は、前記集計結果における各前記識別情報間での通信エラーの発生状況の偏りに基づいて前記攻撃を検知する、請求項1に記載の検知装置。
  3. 前記検知部は、第1の監視間隔における前記合計と第1のしきい値との第1の比較結果および前記エラーID数と第2のしきい値との第2の比較結果、ならびに複数の前記第1の監視間隔からなる第2の監視間隔における前記合計と第3のしきい値との第3の比較結果および前記エラーID数の平均と第4のしきい値との第4の比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項に記載の検知装置。
  4. 前記検知部は、前記第1の比較結果、前記第2の比較結果および前記エラーID数と前記第2のしきい値より大きい第5のしきい値との比較結果、ならびに前記第3の比較結果、前記第4の比較結果および前記平均と前記第4のしきい値より大きい第6のしきい値との比較結果の少なくともいずれか一方に基づいて前記攻撃を検知する、請求項に記載の検知装置。
  5. 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置における検知方法であって、
    前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
    前記バスにおける通信エラーを監視するステップと、
    監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計するステップと、
    集計結果に基づいて前記攻撃を検知するステップとを含み、
    前記攻撃を検知するステップでは、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する、検知方法。
  6. 差出元および宛先の少なくともいずれか一方を認識可能な識別情報を含むフレームが伝送されるバスを含む車載ネットワークにおける攻撃を検知する検知装置において用いられる検知プログラムであって、
    前記バスにおいて、互いに異なる前記識別情報を含む複数の前記フレームが伝送され、
    コンピュータを、
    前記バスにおける通信エラーを監視する監視部と、
    前記監視部の監視結果に基づいて、前記識別情報ごとの通信エラーの発生状況を集計する集計部と、
    前記集計部の集計結果に基づいて前記攻撃を検知する検知部、
    として機能させるためのプログラムであり、
    前記検知部は、前記通信エラーの発生回数の前記識別情報ごとの合計、および前記通信エラーの発生した前記識別情報の数であるエラーID数に基づいて前記攻撃を検知する、検知プログラム。
JP2017150771A 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム Active JP6828632B2 (ja)

Priority Applications (5)

Application Number Priority Date Filing Date Title
JP2017150771A JP6828632B2 (ja) 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム
DE112018003971.4T DE112018003971T5 (de) 2017-08-03 2018-04-11 Detektor, Detektionsverfahren und Detektionsprogramm
US16/634,605 US11218501B2 (en) 2017-08-03 2018-04-11 Detector, detection method, and detection program
CN201880044892.1A CN110832809B (zh) 2017-08-03 2018-04-11 检测装置、检测方法和非瞬态的计算机可读的存储介质
PCT/JP2018/015211 WO2019026352A1 (ja) 2017-08-03 2018-04-11 検知装置、検知方法および検知プログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2017150771A JP6828632B2 (ja) 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム

Publications (2)

Publication Number Publication Date
JP2019029960A JP2019029960A (ja) 2019-02-21
JP6828632B2 true JP6828632B2 (ja) 2021-02-10

Family

ID=65232592

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2017150771A Active JP6828632B2 (ja) 2017-08-03 2017-08-03 検知装置、検知方法および検知プログラム

Country Status (5)

Country Link
US (1) US11218501B2 (ja)
JP (1) JP6828632B2 (ja)
CN (1) CN110832809B (ja)
DE (1) DE112018003971T5 (ja)
WO (1) WO2019026352A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11201878B2 (en) * 2018-11-13 2021-12-14 Intel Corporation Bus-off attack prevention circuit
JP7160178B2 (ja) * 2019-03-14 2022-10-25 日本電気株式会社 車載セキュリティ対策装置、車載セキュリティ対策方法およびセキュリティ対策システム
KR102791477B1 (ko) * 2019-05-27 2025-04-03 현대자동차 주식회사 Can 통신에서 도스 공격 방지를 위한 전자 제어 장치 및 이를 이용한 우선 순위 변경 방법
CN112346432A (zh) * 2019-08-09 2021-02-09 北汽福田汽车股份有限公司 车辆监控方法,车载终端及车辆
JP7505503B2 (ja) * 2019-11-28 2024-06-25 住友電気工業株式会社 検知装置、車両、検知方法および検知プログラム
KR102761974B1 (ko) * 2021-11-30 2025-02-05 숭실대학교산학협력단 Can 트래픽 모니터링을 이용한 공격 ecu 탐지 방법 및 장치
JP7805218B2 (ja) * 2022-03-28 2026-01-23 本田技研工業株式会社 車載機器、車両及び方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5522160B2 (ja) 2011-12-21 2014-06-18 トヨタ自動車株式会社 車両ネットワーク監視装置
US9840212B2 (en) 2014-01-06 2017-12-12 Argus Cyber Security Ltd. Bus watchman
US10824720B2 (en) * 2014-03-28 2020-11-03 Tower-Sec Ltd. Security system and methods for identification of in-vehicle attack originator
JP6063606B2 (ja) * 2014-04-03 2017-01-18 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America ネットワーク通信システム、不正検知電子制御ユニット及び不正対処方法
WO2015170452A1 (ja) * 2014-05-08 2015-11-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 車載ネットワークシステム、電子制御ユニット及び更新処理方法
EP3169101B1 (en) * 2014-07-11 2024-08-14 Sony Group Corporation Information processing device, communication system and information processing method
JP2016097879A (ja) 2014-11-25 2016-05-30 トヨタ自動車株式会社 車両制御システム
CN105981336B (zh) * 2014-12-01 2020-09-01 松下电器(美国)知识产权公司 不正常检测电子控制单元、车载网络系统以及不正常检测方法
JP6079768B2 (ja) 2014-12-15 2017-02-15 トヨタ自動車株式会社 車載通信システム
DE102015205670A1 (de) * 2015-03-30 2016-06-09 Volkswagen Aktiengesellschaft Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug
US10798114B2 (en) * 2015-06-29 2020-10-06 Argus Cyber Security Ltd. System and method for consistency based anomaly detection in an in-vehicle communication network
JP6684690B2 (ja) * 2016-01-08 2020-04-22 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 不正検知方法、監視電子制御ユニット及び車載ネットワークシステム
JP6558703B2 (ja) * 2016-12-14 2019-08-14 パナソニックIpマネジメント株式会社 制御装置、制御システム、及びプログラム
JP6891671B2 (ja) * 2017-06-29 2021-06-18 富士通株式会社 攻撃検知装置および攻撃検知方法

Also Published As

Publication number Publication date
US11218501B2 (en) 2022-01-04
JP2019029960A (ja) 2019-02-21
WO2019026352A1 (ja) 2019-02-07
DE112018003971T5 (de) 2020-04-09
US20210105292A1 (en) 2021-04-08
CN110832809B (zh) 2021-10-19
CN110832809A (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
JP6828632B2 (ja) 検知装置、検知方法および検知プログラム
US11411681B2 (en) In-vehicle information processing for unauthorized data
US11356475B2 (en) Frame transmission prevention apparatus, frame transmission prevention method, and in-vehicle network system
US11296965B2 (en) Abnormality detection in an on-board network system
JP7280082B2 (ja) 不正検知方法、不正検知装置及びプログラム
US10693905B2 (en) Invalidity detection electronic control unit, in-vehicle network system, and communication method
US11863569B2 (en) Bus-off attack prevention circuit
JP6566400B2 (ja) 電子制御装置、ゲートウェイ装置、及び検知プログラム
CN114503518B (zh) 检测装置、车辆、检测方法及检测程序
CN111066001A (zh) 日志输出方法、日志输出装置以及程序
WO2018168291A1 (ja) 情報処理方法、情報処理システム、及びプログラム
EP4224790A1 (en) Method for protection from cyber attacks to a vehicle based upon time analysis, and corresponding device
KR102648651B1 (ko) Can 네트워크에서 공격을 탐지 및 대응하기 위한 방법
CN118592018A (zh) 检测装置及检测方法
CN118104217A (zh) 检测装置、检测方法和检测程序

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20201117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20201222

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210104

R150 Certificate of patent or registration of utility model

Ref document number: 6828632

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250